Patchez ASP.NET Core – CVE-2025-55315 : ne passez pas à côté de cette faille de sécurité critique !
Microsoft a corrigé une faille de sécurité dans le framework ASP.NET Core : CVE-2025-55315. Derrière cette référence de CVE se cache en réalité une vulnérabilité critique pouvant permettre à un attaquant de manipuler les requêtes HTTP. Quels sont les risques ? Comment se protéger ? Faisons le point.
À l'occasion du Patch Tuesday d'octobre 2025, Microsoft a corrigé de nombreuses vulnérabilités dans ses produits. Parmi elles, il y a la CVE-2025-55315, découverte dans ASP.NET Core et qui est particulièrement sévère : son score CVSS v3.1 est de 9.9 sur 10.
CVE-2025-55315 : HTTP Request Smuggling
Cette vulnérabilité repose sur une technique d’HTTP Request Smuggling et Microsoft considère qu'un attaquant peut l'exploiter pour contourner une fonctionnalité de sécurité. Mais, concrètement, quels sont les risques ? Un attaquant pourrait porter atteinte à la confidentialité d'une application, modifier des fichiers et même jouer sur la disponibilité des serveurs ciblés.
"Un attaquant qui réussirait à exploiter cette vulnérabilité pourrait voir des informations sensibles telles que les identifiants d'autres utilisateurs (Confidentialité) et apporter des modifications au contenu des fichiers sur le serveur cible (Intégrité), et il pourrait être en mesure de forcer un plantage du serveur (Disponibilité).", précise Microsoft.
Si Microsoft parle du contournement d'une fonctionnalité de sécurité, c'est parce qu'un attaquant, en manipulant les requêtes, pourrait outrepasser les contrôles de sécurité (sur le front-end, avec le contournement des vérifications CSRF) et détourner les sessions d'autres utilisateurs (connexion en tant qu'autre utilisateur).
Comment se protéger ?
ASP.NET Core étant un framework, l'impact réel de la vulnérabilité dépend du code et de l’architecture de chaque application. Connaître les versions vulnérables est une information fiable, mais ce n’est pas suffisant pour savoir quelles instances sont réellement exposées. En partant de ce constat, il est préférable de patcher pour ne pas s'exposer.
Pour corriger la CVE-2025-55315, Microsoft a publié des mises à jour pour plusieurs versions de l'ASP.NET Core et aussi pour Visual Studio 2022 :
- Microsoft Visual Studio 2022 (17.10, 17.12 et 17.14),
- ASP.NET Core 2.3, 8.0 et 9.0,
"Si vous utilisez .NET 2.3, vous devez mettre à jour la référence du paquet pour Microsoft.AspNet.Server.Kestrel.Core vers 2.3.6, puis recompiler votre application et la redéployer.", précise Microsoft. Cette page GitHub donne des précisions intéressantes sur les versions affectées.
Enfin, il est à noter qu'un bulletin du CERT-FR a été publié pour cette vulnérabilité, ainsi que deux autres failles patchées aussi dans ce framework (CVE-2025-55247, CVE-2025-55248).
Source - Merci @Yohann De Oliveira
